Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/VB.aga.168
Entdeckt am:21/06/2011
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:47.104 Bytes
MD5 Prfsumme:79d5ea6fa8208fd76edfc9b99df1c280
VDF Version:7.11.10.61 - Dienstag, 21. Juni 2011
IVDF Version:7.11.10.61 - Dienstag, 21. Juni 2011

 Allgemein Aliases:
   •  Kaspersky: Backdoor.Win32.VB.nmc
   •  Sophos: Troj/VBAgent-G
   •  Bitdefender: Trojan.VB.Agent.JD
     GData: Trojan.VB.Agent.JD


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schdliche Dateien
   • nderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
CVE-2007-1204
MS07-019

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %TEMPDIR%\fv3m.exe



Eine Datei wird berschreiben.
%SYSDIR%\drivers\etc\hosts



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.



Folgende Datei wird gelscht:
   • %TEMPDIR%\mdinstall.inf



Es werden folgende Dateien erstellt:

%TEMPDIR%\mdinstall.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%TEMPDIR%\MouseDriver.bat
%TEMPDIR%\c4ib5fma.bat



Es versucht folgende Dateien auszufhren:

Dateiname:
   • net.exe stop "Security Center"


Dateiname:
   • %TEMPDIR%\fv3m.exe -d67746A804C8B11CEF203745371351E1B9D084232D9BBAD64D7BB166011C729413549C7DAE39F451B6F1BB7187B458CA4AB6804ECC863401CFFC6037F255A61133178EA4539310CE0C180CC8B1CE7060C291ECB87BB0A999963D188E07D899F19ACFBDFCD2739DC6C884ED285FC3F91C406BBC2F129724


Dateiname:
   • "%SYSDIR%\grpconv.exe" -o


Dateiname:
   • sc config wscsvc start= DISABLED


Dateiname:
   • net.exe stop "Windows Firewall/Internet Connection Sharing (ICS)"


Dateiname:
   • sc config SharedAccess start= DISABLED


Dateiname:
   • net1 stop "Security Center"


Dateiname:
   • %TEMPDIR%\fv3m.exe


Dateiname:
   • net1 stop "Windows Firewall/Internet Connection Sharing (ICS)"


Dateiname:
   • Rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 %TEMPDIR%\mdinstall.inf


Dateiname:
   • cmd /c %TEMPDIR%\c4ib5fma.bat

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "5uadx90"="%TEMPDIR%\fv3m.exe"



Folgender Registryschlssel wird hinzugefgt:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "GrpConv"=""



Folgende Registryschlssel werden gendert:

[HKCU\Software\Microsoft\Windows\CurrentVersion\GrpConv]
   Neuer Wert:
   • "Log"="Uninit Application."

[HKLM\SOFTWARE\Classes\MSProgramGroup\Shell\Open\Command]
   Neuer Wert:
   • "@"="%SYSDIR%\grpconv.exe %1"

[HKLM\SOFTWARE\Classes\MSProgramGroup]
   Neuer Wert:
   • "@"="Microsoft Program Group"

[HKLM\SOFTWARE\Classes\.grp]
   Neuer Wert:
   • "@"="MSProgramGroup"

 Hosts Die hosts Datei wird wie folgt gendert:

In diesem Fall werden die bestehenden Eintrge gelscht.

Zugriff auf folgende Domain wird auf ein anderes Ziel umgeleitet:
   • 127.0.0.1 localhost


 Hintertr Kontaktiert Server:
Den folgenden:
   • http://w.nucleardiscover.com:888/**********?c=%Zeichenfolge%&v=%Nummer%&t=%Zeichenfolge%


 Diverses Mutex:
Es werden folgende Mutexe erzeugt:
   • fv3m.exe5uadx90
   • fv3m.exe5uadx90dmode

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 14. Juli 2011
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 14. Juli 2011

zurück . . . .